PCI ASVASV掃描的流程

根據(jù)PCI SSC的規(guī)定，所有ASV的執(zhí)行過程和流程都應(yīng)該要滿足“asv_program_guide_v1.0”的要求。該指導(dǎo)文件描述了ASV掃描流程中的不同角色，掃描范圍的確定，脆弱性分類，掃描報(bào)告內(nèi)容描述，誤報(bào)處理，報(bào)告的交付和完整性保護(hù)，質(zhì)量保證等內(nèi)容。

授權(quán)掃描服務(wù)商是經(jīng)過支付卡產(chǎn)業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCI SSC：Payment Card Industry Security Standards council）認(rèn)可的（可以通過這里進(jìn)行查詢），為商戶和服務(wù)提供商的對(duì)外提供服務(wù)的互聯(lián)網(wǎng)環(huán)境執(zhí)行脆弱性掃描的組織，它的目的是為了驗(yàn)證商戶和服務(wù)提供商遵守一定的PCI DSS要求(PCI DSS 11.2要求)。

對(duì)于ASV的認(rèn)證，PCI SSC除了對(duì)公司的資質(zhì)要求以外，掃描工具也需要經(jīng)過PCI SSC的認(rèn)可。除此以外執(zhí)行ASV掃描的人員則需要通過PCI SSC的ASV在線考試。

在執(zhí)行ASV掃描之前，執(zhí)行掃描的人員需要與客戶一起去確定ASV掃描的范圍。通?？蛻粜枰峁┢鋵?duì)外提供服務(wù)的所有IP地址列表，網(wǎng)絡(luò)拓?fù)鋱D以及相關(guān)的資料以便掃描人員能夠根據(jù)PCI DSS要求判斷那些系統(tǒng)組件應(yīng)該要在掃描的范圍之內(nèi)。按照PCI DSS的要求：所有對(duì)外提供服務(wù)的涉及持卡人信息傳輸，處理或者存儲(chǔ)的系統(tǒng)組件都需要每季度執(zhí)行ASV掃描。這里的系統(tǒng)組件包括但不限于服務(wù)器，網(wǎng)絡(luò)設(shè)備，安全設(shè)備。

在初步確定ASV掃描范圍之后，掃描人員需要使用ASV掃描工具的“探測(cè)”功能去探測(cè)目標(biāo)系統(tǒng)以及與其相關(guān)聯(lián)系統(tǒng)組件的狀態(tài)。在這個(gè)環(huán)節(jié)當(dāng)中， ASV掃描工具會(huì)自動(dòng)化的去識(shí)別與預(yù)設(shè)目標(biāo)相關(guān)聯(lián)的系統(tǒng)組件的活動(dòng)狀態(tài)，所以“探測(cè)”掃描發(fā)現(xiàn)的IP地址數(shù)量通常會(huì)比預(yù)設(shè)目標(biāo)的IP數(shù)量會(huì)更多。這時(shí)候掃描人員就需要根據(jù)發(fā)現(xiàn)的結(jié)果與客戶進(jìn)行討論以最終確認(rèn)ASV的掃描范圍。

PCI SSC對(duì)于ASV掃描報(bào)告格式有嚴(yán)格的要求，每個(gè)ASV在報(bào)告中都需要包含以下的內(nèi)容：

□掃描認(rèn)證的合規(guī)性

這部分的內(nèi)容是整體的總結(jié)，主要顯示客戶的基礎(chǔ)架構(gòu)是否滿足PCI DSS審核要求并且通過ASV的掃描。

□ ASV掃描報(bào)告執(zhí)行摘要

這一章節(jié)的內(nèi)容需要列舉組件(通過IP地址的形式)的脆弱性以顯示每個(gè)被掃描的IP地址是否滿足PCI DSS審核要求并且通過ASV的掃描。這個(gè)章節(jié)當(dāng)中，所有的脆弱性都會(huì)對(duì)應(yīng)到特定的IP地址，每個(gè)脆弱性都會(huì)與IP地址一一對(duì)應(yīng)。

□ ASV掃描報(bào)告漏洞詳細(xì)資料

這個(gè)章節(jié)包含對(duì)應(yīng)脆弱性合規(guī)的狀態(tài)(通過 / 失敗)的總結(jié)以及被發(fā)現(xiàn)的脆弱性的詳細(xì)描述。

除上述描述以外，作為一份被認(rèn)可的ASV掃描報(bào)告，它需要包含兩個(gè)非常重要的元素：被掃描客戶對(duì)ASV掃描的認(rèn)可聲明（包括掃描的范圍，客戶的信息等內(nèi)容）另外一個(gè)則是具有PCI SSC ASV資質(zhì)認(rèn)定的人員對(duì)于報(bào)告的認(rèn)可。其中最后一個(gè)元素被視為ASV掃描報(bào)告有效性的證明。任何沒有經(jīng)由具有PCI SSC ASV資質(zhì)認(rèn)定的人員聲明的ASV報(bào)告將不被視為一份合規(guī)的ASV掃描報(bào)告。2100433B

ASV(Advanced Safety Vehicle)

ASV計(jì)劃旨在實(shí)現(xiàn)汽車智能化，以此來幫助駕駛員減少反應(yīng)、判斷等人為失誤，制造更為安全的汽車。

ASV(Approved Scanning Vendor)

ASC(Approved Scanning Vendor)授權(quán)的漏洞掃描服務(wù)商

授權(quán)掃描服務(wù)商是經(jīng)過PCI SSC認(rèn)可的，為商戶和服務(wù)提供商的對(duì)外提供服務(wù)的互聯(lián)網(wǎng)環(huán)境執(zhí)行脆弱性掃描的組織，它的目的是為了驗(yàn)證商戶和服務(wù)提供商遵守一定的PCI DSS（付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))要求.

Action Script Viewer (ASV)

是一款 SWF 反編譯的 win32 應(yīng)用程序。能讓你查看 SWF 文件里面的動(dòng)作腳本；能讓你抽取位圖、音頻、視頻、字體等原始文件；能讓你瀏覽 SWF 文件的內(nèi)部架構(gòu)；能幫你重建 SWF 的 FLA 文件，導(dǎo)出 SWF 的原始資源文件和一個(gè) JSFL 命令。